安全資訊

網(wǎng)絡(luò )安全等級保護測評機構管理辦法

第一章 總則

第一條 為加強網(wǎng)絡(luò )安全等級保護測評機構（以下簡(jiǎn)稱(chēng)“測評機構”）管理，規范測評行為，提高等級測評能力和服務(wù)水平，根據《中華人民共和國網(wǎng)絡(luò )安全法》和網(wǎng)絡(luò )安全等級保護制度要求，制定本辦法。

第二條 等級測評工作，是指測評機構依據國家網(wǎng)絡(luò )安全等級保護制度規定，按照有關(guān)管理規范和技術(shù)標準，對已定級備案的非涉及國家秘密的網(wǎng)絡(luò )（含信息系統、數據資源等）的安全保護狀況進(jìn)行檢測評估的活動(dòng)。

測評機構，是指依據國家網(wǎng)絡(luò )安全等級保護制度規定，符合本辦法規定的基本條件，經(jīng)省級以上網(wǎng)絡(luò )安全等級保護工作領(lǐng)導（協(xié)調）小組辦公室（以下簡(jiǎn)稱(chēng)“等保辦”）審核推薦，從事等級測評工作的機構。

第三條 測評機構實(shí)行推薦目錄管理。測評機構由省級以上等保辦根據本辦法規定，按照統籌規劃、合理布局的原則，擇優(yōu)推薦。

第四條 測評機構聯(lián)合成立測評聯(lián)盟。測評聯(lián)盟按照章程和有關(guān)測評規范，加強行業(yè)自律，提高測評技術(shù)能力和服務(wù)質(zhì)量。測評聯(lián)盟在國家等保辦指導下開(kāi)展工作。

第五條 測評機構應按照國家有關(guān)網(wǎng)絡(luò )安全法律法規規定和標準規范要求，為用戶(hù)提供科學(xué)、安全、客觀(guān)、公正的等級測評服務(wù)。

第二章 測評機構申請

第六條 申請成為測評機構的單位（以下簡(jiǎn)稱(chēng)“申請單位”）需向省級以上等保辦提出申請。

國家等保辦負責受理隸屬?lài)揖W(wǎng)絡(luò )安全職能部門(mén)和重點(diǎn)行業(yè)主管部門(mén)的申請，對申請單位進(jìn)行審核、推薦；監督管理全國測評機構。

省級等保辦負責受理本?。▍^、直轄市）申請單位的申請，對申請單位進(jìn)行審核、推薦；監督管理其推薦的測評機構。

第七條 申請單位應具備以下基本條件：

（一）在中華人民共和國境內注冊成立，由中國公民、法人投資或者國家投資的企事業(yè)單位;

（二）產(chǎn)權關(guān)系明晰，注冊資金 500 萬(wàn)元以上，獨立經(jīng)營(yíng)核算，無(wú)違法違規記錄；

（三）從事網(wǎng)絡(luò )安全服務(wù)兩年以上，具備一定的網(wǎng)絡(luò )安全檢測評估能力；

（四）法人、主要負責人、測評人員僅限中華人民共和國境內的中國公民，且無(wú)犯罪記錄；

（五）具有網(wǎng)絡(luò )安全相關(guān)工作經(jīng)歷的技術(shù)和管理人員不少于 15 人，專(zhuān)職滲透測試人員不少于 2 人，崗位職責清晰， 且人員相對穩定；

（六）具有固定的辦公場(chǎng)所，配備滿(mǎn)足測評業(yè)務(wù)需要的檢測評估工具、實(shí)驗環(huán)境等；

（七）具有完備的安全保密管理、項目管理、質(zhì)量管理、人員管理、檔案管理和培訓教育等規章制度；

（八）不涉及網(wǎng)絡(luò )安全產(chǎn)品開(kāi)發(fā)、銷(xiāo)售或信息系統安全集成等可能影響測評結果公正性的業(yè)務(wù)（自用除外）；

（九）應具備的其他條件。

第八條 申請時(shí)，申請單位應向等保辦提交以下材料：

（一）網(wǎng)絡(luò )安全等級保護測評機構推薦申請表；

（二）近兩年從事網(wǎng)絡(luò )安全服務(wù)情況以及網(wǎng)絡(luò )安全服務(wù)項目完整文檔和相關(guān)用戶(hù)證明；

（三）檢測評估工作所需實(shí)驗環(huán)境及測評工具、設備設施情況；

（四）有關(guān)管理制度情況；

（五）申請單位及其測評人員基本情況；

（六）應提交的其他材料。

第九條 等保辦收到申請材料后，應在10個(gè)工作日內組織初審。對符合本辦法第七條規定的申請單位，應委托測評聯(lián)盟對其開(kāi)展測評能力評估。

測評聯(lián)盟組織專(zhuān)家，根據標準規范對申請單位開(kāi)展能力評估，出具測評能力評估報告，并及時(shí)將能力評估情況反饋等保辦。

能力評估不達標的，等保辦應告知申請單位初審未通過(guò)。

第十條 初審通過(guò)的申請單位，應組織本單位人員參加測評師培訓?？荚嚭细竦?，取得測評師證書(shū)。

測評師分為初級、中級和高級。申請單位應至少有15人獲得測評師證書(shū)，其中高級測評師不少于1人，中級測評師不少于5人。

第十一條 等保辦組織專(zhuān)家對人員培訓符合要求的申請單位進(jìn)行復核。復核通過(guò)的，頒發(fā)《網(wǎng)絡(luò )安全等級保護測評機構推薦證書(shū)》。

第十二條 測評機構實(shí)行目錄管理，國家等保辦編制《全國網(wǎng)絡(luò )安全等級保護測評機構推薦目錄》，并在中國網(wǎng)絡(luò )安全等級保護網(wǎng)網(wǎng)站發(fā)布并及時(shí)更新。

省級等保辦應及時(shí)將本地測評機構推薦情況報國家等保辦。

第十三條 省級等保辦每年年底根據測評工作需求制定下一年度測評機構推薦計劃，并報國家等保辦審定。

省級以上等保辦受理測評機構申請的時(shí)間為每年三月份。

第十四條 測評聯(lián)盟應組織專(zhuān)家對新推薦測評機構的首個(gè)測評項目實(shí)施情況進(jìn)行跟蹤評議，并將結果及時(shí)報等保辦。等保辦組織進(jìn)行綜合審查。

第三章 測評機構和測評人員管理

第十五條 測評機構應與被測評單位簽署測評服務(wù)協(xié)議，依據有關(guān)標準規范開(kāi)展測評業(yè)務(wù)，防范測評風(fēng)險，客觀(guān)準確地反映被測評對象的安全保護狀況。

測評機構應按照統一模板出具網(wǎng)絡(luò )安全等級測評報告，并針對被測評網(wǎng)絡(luò )分別出具等級測評報告。

對第三級以上網(wǎng)絡(luò )提供等級測評服務(wù)的，測評師人數不得少于4名，其中高級測評師、中級測評師應各不少于1名。

第十六條 測評機構應當指定專(zhuān)人管理測評專(zhuān)用章，制定管理規范，不得濫用。

出具等級測評報告時(shí)，測評機構應加蓋等級測評專(zhuān)用章。未加蓋專(zhuān)用章的報告，視為無(wú)效。

第十七條 測評師上崗前，測評機構應組織崗前培訓；培訓合格的，由測評機構配發(fā)上崗證，上崗證發(fā)放情況應于發(fā)放后5個(gè)工作日報等保辦。測評機構應當對測評師開(kāi)展等級測評業(yè)務(wù)情況進(jìn)行考核，并留存相關(guān)記錄。

未取得測評師證書(shū)和上崗證的，不得參與等級測評項目。測評師一年內未參與測評活動(dòng)的，測評聯(lián)盟應注銷(xiāo)其證書(shū)。

測評師實(shí)行年度注冊管理。年審時(shí)，測評機構應將本機構測評師情況報等保辦注冊。測評機構不得采取掛靠或者聘用兼職測評師開(kāi)展測評業(yè)務(wù)。

第十八條 測評機構應采取管理和技術(shù)措施保護測評活動(dòng)中相關(guān)數據和信息的安全，不得泄露在測評服務(wù)中知悉的商業(yè)秘密、重要敏感信息和個(gè)人信息；未經(jīng)等保辦同意，不得擅自發(fā)布、披露在測評服務(wù)中收集掌握的網(wǎng)絡(luò )信息、系統漏洞、惡意代碼、網(wǎng)絡(luò )攻擊等信息。

第十九條 測評機構提供測評服務(wù)不受地域、行業(yè)、領(lǐng)域的限制。測評項目采取登記管理。測評機構在實(shí)施測評項目之前，須將測評項目信息及時(shí)、準確地填報到網(wǎng)絡(luò )安全等級保護測評項目登記管理系統（以下簡(jiǎn)稱(chēng)“項目管理系統”）。

測評機構應于測評項目合同簽訂后或測評活動(dòng)實(shí)施前 5 個(gè)工作日內，通過(guò)項目管理系統填報測評項目基本情況，不得于測評項目完成后進(jìn)行補錄。由于項目實(shí)施變更導致已登記信息與實(shí)際情況不符的，應及時(shí)修改并說(shuō)明理由。

第二十條 省級以上等保辦對測評機構填報的信息應在5個(gè)工作日內進(jìn)行審核確認。逾期未審核確認的，項目管理系統默認審核通過(guò)。測評項目填報登記和審核確認的具體要求，參見(jiàn)《項目管理系統填報指南》。

第二十一條 省級以上等保辦在審核確認測評項目登記信息時(shí)，發(fā)現測評機構具有下列情形之一的，應不予審核通過(guò)。

（一）處于暫停測評業(yè)務(wù)期間；

（二）因違規被通報后，未反饋整改情況的；

（三）其他不符合本辦法規定情形的。

第二十二條 屬于異地測評項目的，測評機構應從項目管理系統中生成測評項目基本情況表，并于測評項目實(shí)施前報送或傳至被測評網(wǎng)絡(luò )備案公安機關(guān)。

第二十三條 測評機構名稱(chēng)、地址、測評人員、主要負責人和聯(lián)系人發(fā)生變更的，測評機構應在變更后5個(gè)工作日內向等保辦報告，并提交變更材料。

測評機構法人、股權結構發(fā)生變更或其他重大事項發(fā)生變更的，等保辦應組織重新進(jìn)行推薦審查并出具審查意見(jiàn)。測評機構不得假借變更名義轉讓推薦證書(shū)。

第二十四條 測評機構應加強對測評人員的監督管理，定期組織開(kāi)展安全保密教育和測評業(yè)務(wù)培訓，簽訂安全保密責任書(shū)，規定其應當履行的安全保密義務(wù)和承擔的法律責任，并負責檢查落實(shí)。

第二十五條 測評機構應組織測評師參加多種形式的測評業(yè)務(wù)和技術(shù)培訓，測評師每年培訓時(shí)長(cháng)累計不少于40學(xué)時(shí)。培訓時(shí)長(cháng)不足的，不予年度注冊。

測評聯(lián)盟確定測評業(yè)務(wù)和技術(shù)培訓科目，發(fā)布年度測評培訓綱要。

第二十六條 測評師離職前，測評機構應與其簽訂離職保密承諾書(shū)，收回上崗證并及時(shí)向等保辦報備。

自離職之日起超過(guò)6個(gè)月再入職測評機構的測評師，應通過(guò)測評師考試后從事測評活動(dòng)；自離職之日起一年內未入職測評機構從事測評活動(dòng)的，測評聯(lián)盟應注銷(xiāo)其測評師證書(shū)。

第二十七條 測評機構應監督測評師妥善保管測評師證書(shū)、上崗證，不得涂改、出借、出租和轉讓。

第二十八條 測評機構應當建立網(wǎng)絡(luò )安全應急處置機制和糾紛處理機制，防范測評風(fēng)險，妥善處理糾紛。

第二十九條 測評項目完成后，測評機構應請被測評單位對測評服務(wù)情況進(jìn)行評價(jià)，評價(jià)情況表由被測單位密封后反饋測評機構，留存備查。

第三十條 測評機構應每季度向等保辦報送測評業(yè)務(wù)開(kāi)展情況和測評數據。根據測評實(shí)踐，測評機構每年底編制并向等保辦報送網(wǎng)絡(luò )安全狀況分析報告。

測評機構在測評活動(dòng)中，發(fā)現重大網(wǎng)絡(luò )安全事件、重大網(wǎng)絡(luò )安全風(fēng)險隱患、高危漏洞和重大網(wǎng)絡(luò )安全威脅時(shí)，應及時(shí)報告公安機關(guān)。

第三十一條 國家等保辦每年第四季度組織開(kāi)展測評機構能力驗證活動(dòng)，并將能力驗證結果通報各省級等保辦。

未參加能力驗證的測評機構，視為能力驗證未通過(guò)。

第三十二條 等保辦應于每年12月份對所推薦測評機構進(jìn)行年審。

年審通過(guò)的，等保辦在推薦證書(shū)副本上加蓋等級保護專(zhuān)用章或等保辦印章，發(fā)放測評師注冊標識。

年審時(shí)，測評機構應當提交以下材料：

（一）網(wǎng)絡(luò )安全等級保護測評機構年審表；

（二）網(wǎng)絡(luò )安全等級保護測評機構推薦證書(shū)副本；

（三）年度測評工作總結；

（四）測評師年度注冊表；

（五）其他所需材料。

第三十三條 測評機構有下列情形之一的，年審不予通過(guò)。

（一）未及時(shí)、準確地填報測評項目信息；

（二）測評師培訓時(shí)長(cháng)不足；

（三）未定期報送測評業(yè)務(wù)開(kāi)展情況和測評數據；

（四）能力驗證未通過(guò)且整改方案落實(shí)不到位；

（五）其他有關(guān)情形。

年審未通過(guò)的，等保辦責令測評機構限期整改。拒不整改或整改不符合要求的，應暫停測評機構開(kāi)展等級測評業(yè)務(wù)。

第三十四條 測評機構推薦證書(shū)有效期為三年。測評機構應在推薦證書(shū)期滿(mǎn)前30日內，向等保辦申請期滿(mǎn)復審。

等保辦應于收到期滿(mǎn)復審申請后5個(gè)工作日內，組織開(kāi)展復審工作。復審通過(guò)的測評機構，由等保辦換發(fā)新證。省級等保辦應及時(shí)將測評機構期滿(mǎn)復審情況報國家等保辦匯總。

期滿(mǎn)復審時(shí)，測評機構應提交以下材料：

（一）測評機構期滿(mǎn)復審申請表；

（二）年審情況；

（三）其他需要提供的有關(guān)材料。

第三十五條測評機構有下列情形之一的，期滿(mǎn)復審不予通過(guò)。

（一）累計兩年年審未通過(guò)或三年能力驗證未通過(guò)的；

（二）基本條件不符合的；

（三）違反本辦法有關(guān)規定且情形特別嚴重的；

（四）逾期30日未提交期滿(mǎn)復審申請的。

期滿(mǎn)復審未通過(guò)的，等保辦應公告宣布取消其推薦證書(shū)。

第四章 監督管理

第三十六條 省級以上等保辦對測評機構和測評業(yè)務(wù)開(kāi)展情況進(jìn)行監督、檢查、指導。

國家等保辦每年組織對測評機構及測評活動(dòng)開(kāi)展監督抽查。

測評項目實(shí)施過(guò)程中，測評機構應接受被測網(wǎng)絡(luò )備案公安機關(guān)的監督、檢查和指導。

第三十七條 等保辦開(kāi)展監督檢查時(shí)，重點(diǎn)檢查以下內容：

（一）測評機構基本條件符合情況；

（二）測評機構管理制度執行情況；

（三）測評機構相關(guān)事項變更報告、審查情況；

（四）測評師管理、行為規范情況；

（五）測評項目實(shí)施情況；

（六）測評服務(wù)評價(jià)情況；

（七）測評報告及相關(guān)數據文檔管理情況；

（八）其他需監督檢查的事項。

第三十八條 等保辦、被測網(wǎng)絡(luò )備案公安機關(guān)在監督檢查時(shí)，發(fā)現異地測評機構有違反本辦法規定情形的，應書(shū)面通報該機構推薦等保辦。

等保辦在收到通報后，應及時(shí)組織進(jìn)行核查處置并反饋，同時(shí)將有關(guān)情況報國家等保辦。

第三十九條 等保辦應及時(shí)將測評數據、測評機構及其測評師情況、年審和期滿(mǎn)復審情況、監督檢查情況等相關(guān)數據錄入數據庫。

第四十條 國家等保辦每年對全國測評機構開(kāi)展年度評定活動(dòng)，評定結果及時(shí)發(fā)布。

第四十一條 任何組織和個(gè)人有權向省級以上等保辦、測評聯(lián)盟投訴舉報測評機構和測評人員違法違規行為。

第四十二條 測評機構違反本辦法第十五、十六、十七、十八、十九、二十二、二十三、二十四、二十五、二十六、二十七、二十八、二十九、三十條規定，等保辦應責令其限期整改；拒不整改或情形嚴重的，約談測評機構法人和主要負責人；屢次違反上述規定或情形特別嚴重的，責令其暫停測評業(yè)務(wù)，并予通報。

第四十三條 測評機構有下列情形之一的，等保辦責令其限期整改；情形嚴重的，責令整改期間暫停測評業(yè)務(wù)，并予通報。

（一）未按照有關(guān)標準規范開(kāi)展測評，或未按規定出具測評報告的；

（二）分包、轉包、代理測評項目，或惡意競爭，擾亂測評工作正常開(kāi)展的；

（三）擅自簡(jiǎn)化測評工作環(huán)節，或未按測評流程要求開(kāi)展測評工作的；

（四）監督檢查或抽查中發(fā)現問(wèn)題突出的；

（五）影響被測評網(wǎng)絡(luò )正常運行，或因測評不到位，未發(fā)現網(wǎng)絡(luò )中存在相關(guān)漏洞隱患，導致被測評網(wǎng)絡(luò )發(fā)生重大網(wǎng)絡(luò )安全事件的；

（六）非授權占有、使用，以及未妥善保管等級測評相關(guān)資料及數據文件的；

（七）限定被測評單位購買(mǎi)、使用指定網(wǎng)絡(luò )安全產(chǎn)品，或與產(chǎn)品和服務(wù)商存在利益勾結行為的；

（八）非本機構測評師或測評人員未取得等級測評師證書(shū)和上崗證從事等級測評活動(dòng)的；

（九）未通過(guò)測評項目管理系統及時(shí)填報項目登記信息或未通過(guò)審核開(kāi)展等級測評項目的；

（十）未按本辦法規定向等保辦提交材料或弄虛作假的；

（十一）其他違反本辦法有關(guān)規定行為的。

第四十四條 測評機構有下列情形之一的，等保辦應取消其推薦證書(shū)，并向社會(huì )公告，三年內不得再次申請。

（一）運營(yíng)管理不規范，屢次被責令整改，嚴重影響測評服務(wù)質(zhì)量的；

（二）因單位股權、人員等情況發(fā)生變動(dòng)，不符合測評機構基本條件的；

（三）有網(wǎng)絡(luò )安全產(chǎn)品開(kāi)發(fā)、銷(xiāo)售或系統安全集成等影響測評結果公正性行為；與產(chǎn)品提供商、服務(wù)商或被測評方存在利益勾結，擾亂測評業(yè)務(wù)正常開(kāi)展的；

（四）泄露被測評單位工作秘密、重要數據信息的；

（五）隱瞞測評過(guò)程中發(fā)現的重大安全問(wèn)題，或者在測評過(guò)程中弄虛作假未如實(shí)出具等級測評報告的；

（六）一年內未開(kāi)展測評業(yè)務(wù)（被暫停開(kāi)展測評業(yè)務(wù)的情況除外）或自愿放棄測評機構推薦資格的；

（七）連續兩年年審未通過(guò)或未通過(guò)期滿(mǎn)復審的；

（八）測評實(shí)施期間，導致被測評網(wǎng)絡(luò )發(fā)生宕機等嚴重網(wǎng)絡(luò )安全事件的；

（九）有第四十二條、第四十三條情形，造成特別嚴重后果或影響特別惡劣的；

（十）其他違反法律法規或嚴重違反本辦法規定情形的。

第四十五條 測評師有下列行為之一的，等保辦責令測評機構督促其限期改正；情節嚴重的，責令測評機構暫停其參與測評業(yè)務(wù)；情形特別嚴重的，應注銷(xiāo)其測評師證書(shū)，責令其所在測評機構進(jìn)行限期整改。

（一）未經(jīng)允許擅自使用、泄露或出售等級測評活動(dòng)中收集的數據信息、資料或測評報告的；

（二）違反本辦法規定，有涂改、出借、出租和轉讓測評師證書(shū)、上崗證等行為的；

（三）測評行為失誤或不當，嚴重影響網(wǎng)絡(luò )安全或造成被測評單位利益重大損失的；

（四）其他違反本辦法有關(guān)規定行為的。

第四十六條 測評機構及其測評師違反本辦法的相關(guān)規定，給網(wǎng)絡(luò )運營(yíng)者造成嚴重危害和損失，構成違法犯罪的，由相關(guān)部門(mén)依照有關(guān)法律、法規予以處理。

第四十七條 公安機關(guān)有關(guān)工作人員在工作中不得利用職權索取、收受賄賂；不得濫用職權、干預測評機構及測評業(yè)務(wù)正常開(kāi)展，以及法律法規禁止的其他行為。

第四十八條 本辦法自發(fā)布之日起實(shí)施。本辦法由國家等保辦負責解釋。

第四十九條 自本辦法實(shí)施之日起，《信息安全等級保護測評機構管理辦法》、《信息安全等級保護測評機構異地備案實(shí)施細則》、各地自行制定的與本辦法規定不符的規范性文件一律作廢。

第五十條 本辦法所稱(chēng)“以上”含本數。